Analyse de log hijack.this (Vundo, Sdbot) [Résolu formatage]

Bonsoir,

J'ai un problème que je n'arrive pas à régler et qui m'ennuie assez.
Aussi je viens vers vous..

Les symptômes sont :

PC assez lent au démarrage, lent à la navigation (alors que j'ai au moins du 2 méga), surtout lors de la première ouverture du navigateur après la première connexion (du matin.. lol).

Je navigue sur Firefox, mais sur IE, une fenêtre "Error Safe" s'ouvre et trois autres alertes à la suite, qu'il me faut vite fermer, sinon les demandes de téléchargements de fichiers affluent.

Impossible de me connecter aux antivirus en ligne.


Voici le log hijack

Logfile of HijackThis v1.99.1
Scan saved at 22:25:13, on 18/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Mozilla Firefox\firefox.exe
C:\Program Files\MSN Messenger\msnmsgr.exe
C:\Documents and Settings\Propriétaire\Bureau\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr6.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr6.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjh.dll
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\PROGRA~1\PESTPA~1\PPControl.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - Global Startup: NkvMon.exe.lnk = C:\Program Files\Nikon\NkView6\NkvMon.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C029752-C694-4845-A297-40ADE623D50D}: NameServer = 86.64.145.153 86.64.145.143
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\System32\pmkjh.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Disk Check (dskcheck) - VERITAS Software, Inc. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe

Oui, je sais, ya aucune MAJ, oui je sais, je suis lamentable.. désolée..

Bo ben.. merci de vous pencher sur mon triste sort..
Lolla

Salut Lolla

Dans un premier temps, on va s"occuper de Vundo, on verra pour errorsafe après.

Imprime ces instructions: une partie de la procédure se fait en mode sans échec.

Télécharge VundoFix.exe
http://www.atribune.org/downloads/VundoFix.exe
Double-clique sur VundoFix.exe pour extraire les fichiers. Un dossier VundoFix va se créer sur le bureau. (Ne l'ouvre pas pour le moment)

Télécharge et installe Cleanup. C'est un programme qui permet de nettoyer les fichiers temporaires, les caches internet des navigateurs les plus connus, les cookies ....
Dans Options, vérifie que l'ascenseur est bien positionné sur Standard Cleanup.

Crée un répertoire HJT à la racine de ton disque dur C:/HJT et copie-colle le programme HijackThis.exe dedans. HijackThis devra toujours être lancé à partir de ce répertoire si on veut disposer d'une sauvegarde des lignes fixées.

redémarre en mode sans échec . Pour Démarrer en mode sans échec

Ouvre le dossier VundoFix et double-clique sur KillVundo.bat

• Une fenêtre DOS va s'ouvrir et tu verras ceci:
  
  

  Citation :

  
  VundoFix V2.15 by Atri
  By pressing enter you agree that you are using this at your own risk

  
  Appuie sur la touche Entrée
  
  
• Ensuite tu verras:
  
  

  Citation :

  
  Type in the filepath as instructed by the forum staff
  Then Press Enter, to continue with the fix.

  
  A ce moment entre le chemin exact du fichier suivant:
  C:\WINDOWS\System32\pmkjh.dll
  Appuie sur Entrée
  
  
• Ensuite tu verras:
  
  
  

  Citation :

  Please type in the second filepath as instructed by the forum staff

  
  A ce moment entre le chemin exact du fichier suivant:
  
  C:\WINDOWS\system32\hjkmp.*
  
  Appuie sur entrée pour continuer

Lance Hijackthis :

Dans Hijackthis coche les lignes suivantes:

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr6.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr6.hpwis.com/

O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjh.dll
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\System32\pmkjh.dll

Clique sur Fix Checked et confirme les modifs.

Ferme ensuite HijackThis, puis appuie sur Entrée pour fermer le programme (VundoFix)

Lance Cleanup et clique sur le bouton Cleanup.
Laisse le nettoyage se terminer. A la fin il va te proposer de redémarrer l'ordi. Accepte.

Redémarre le PC normalement.

Fais un scan antivirus en ligne Panda

Tu dois obligatoirement utiliser Internet Explorer pour faire ce scan. Tu dois aussi accepter l'installation des controles ActiveX que te propose Panda.
A la fin du scan, sauvegarde le rapport sur ton disque dur et poste le dans ta prochaine réponse.


Poste un nouveau rapport HijackThis ainsi que le fichier vundofix.txt (rapport de VundoFix) que tu trouveras dans le dossier Vundofix.

La procédure semble longue et compliquée mais c'est parce qu'elle est détaillée. En réalité elle est très rapide et simple à réaliser.

Si tu as des questions à poser, n'hésite pas.

@+

Ok, je m'y colle.. et je reviens..
Merci beaucoup Bonemine

Bonjour,

Moi j'ai trouvé un virus dans ton log :

Citation :

c:\Program Files\Norton AntiVirus\navapsvc.exe

C'est le pire de tous.
Il laisse rentrer tous ses potes.

Je repasse la main à Bonemine qui est bien meilleure que moi avec Hitjackthis.

Lolla, sois la bienvenue sur Micro-Astuce.

J'ai voulu suivre la procédure, mais je n'ai plus accès au mode sans échec.

Plus précisément, la touche F8 fonctionne, la sélection du mode sans échec également, jusqu'à la sélection de la session (là je clique sur propriétaire) et en principe, une fenêtre d'avertissement demande si l'on souhaite poursuivre sur ce mode avec "oui" ou "non" à cliquer.
Ici, cette fenêtre ne reste pas, elle apparaît brièvement, on entend un bip et là, il y a tout autour les mentions "mode sans échec", mais aucune icône, l'écran reste noir. Il me faut redémarrer l'ordi "à la hussarde" !

J'avais déjà constaté ce problème, suite à une attaque assez importante (qui m'avait mis le PC en veille, écran noir.. la totale..) lorsque j'avais voulu nettoyer les virus.. j'ai peut-être supprimé des fichiers ou des clefs de registre qu'il ne fallait pas.

Je sens que la réinstallation me guette...

Désolée, oubliée de me logger.. mais c'était encore moi

Citation :

Je sens que la réinstallation me guette...

Hou la, tu vas vite en besogne.

Tu as essayé de te logger en tant que administrateur en MSE ?

Si ça marche pas il va falloir rétablir les fonctions vitales de XP avant de désinfecter.

Mais on ne formate pas d'entrée de jeu...on se bat.

Tu as le CD de Windows XP ?

Oui, on n'en est pas encore au formatage. Il y a des trucs à tenter avant.

C'est cette saleté de Vundo qui doit t'empêcher d'accèder au mode sans échec.

J'ai trouvé ça. Le posteur est dans le même cas que toi et est infecté par Virtumonde qui est ... Vundo.

Le troyen a du modifier le temps d'affichage de la fenêtre d'accés du mode sans échec, dans le registre.

Si tu as le CD de Microsoft (pas des CD de restauration fournis par le constructeur), on peut effectivement tenter une réparation de Windows comme le préconise Renard (Les fichiers persos sont conservés:pas de perte de données).
Sinon, il va falloir d'abord réparer le mode sans échec avant de désinfecter.

Si tu n'as pas le CD d'installation de Microsoft, tente ceci:
Tu redémarres en mode sans échec par F8 et dès que la fenêtre apparait tu appuies sur la touche Entrée (avant qu'elle disparaisse).
Je sais qu'il n'y a pas beaucoup de temps pour agir mais pour le moment j'ai pas trouvé mieux.

Je continue de chercher et je te tiens au courant.
Dis nous si tu as le CD officiel de Microsoft.

@+

Bonjour tu peux aussi essayer de démarrer en mode sans echec automatiquement.

1) Cliques sur "Démarrer" puis "Exécuter" et tapes "msconfig" dans la case blanche :




2) Rendez-vous à l'onglet "BOOT.INI" et coches la case "SAFEBOOT"



Cliques sur OK.

Et redémarres :



En faisant ainsi le mode sans échec sera peut être opérationnel.

Ton PC devrait démarrer en mode sans échec tout seul, sans toucher à la touche F8.

Il faudra ensuite décocher "SAFEBOOT" pour ne plus démarrer en MSE systématiquement.

Salut Renard

J'y ai pensé mais si elle fait ça, elle ne pourra plus redémarrer normalement après puisqu'elle n'aura plus accès à msconfig.

@+

Bonjour et merci Renard pour ta bienvenue.
Ok, on se bat !

Hélas, je n'ai pas le CD de Windows XP, j'ai juste les CD de réinstallation HP.

Et en plus, j'ai du nouveau pas très joli joli je crois..

En essayant de modifier le démarrage en mode diagnostic par msconfig (pour ensuite redémarrer en mode normal), toutes les applications que j'avais désactivées à la suite de l'attaque redémarrent à nouveau.

J'ai refait un petit log qui prend en compte ces modif..
Voici donc le VRAI

Logfile of HijackThis v1.99.1
Scan saved at 09:01:00, on 19/02/2006
Platform: Windows XP (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 (6.00.2600.0000)

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\Explorer.EXE
C:\WINDOWS\system32\spoolsv.exe
c:\Program Files\Norton AntiVirus\navapsvc.exe
C:\WINDOWS\System32\svchost.exe
C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe
C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
C:\Program Files\VERITAS Software\Update Manager\sgtray.exe
C:\Program Files\Internet Explorer\iexplore.exe
C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
C:\PROGRA~1\PESTPA~1\PPControl.exe
C:\PROGRA~1\NORTON~1\navapw32.exe
C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
C:\HP\KBD\KBD.EXE
C:\windows\system\hpsysdrv.exe
C:\WINDOWS\System32\dslagent.exe
C:\WINDOWS\system32\dla\tfswctrl.exe
C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
C:\Program Files\Logitech\ImageStudio\LowLight.exe
C:\Program Files\ATI Technologies\Panneau de contrôle ATI\atiptaxx.exe
C:\Program Files\Messenger\msmsgs.exe
C:\Program Files\Nikon\NkView6\NkvMon.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Kerio\Personal Firewall 4\kpf4gui.exe
C:\Program Files\Real\RealPlayer\RealPlay.exe
C:\HJT\HijackThis.exe

R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://fr6.hpwis.com/
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Start Page = http://fr6.hpwis.com/
R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Local Page =
R0 - HKLM\Software\Microsoft\Internet Explorer\Main,Local Page =
O2 - BHO: (no name) - {53707962-6F74-2D53-2644-206D7942484F} - C:\PROGRA~1\SPYBOT~1\SDHelper.dll
O2 - BHO: MSEvents Object - {B313D637-F405-4052-AC37-E2119AB3C8F8} - C:\WINDOWS\System32\pmkjh.dll
O4 - HKLM\..\Run: [MSN Checker] msnchecker.exe
O4 - HKLM\..\Run: [PestPatrol Control Center] C:\Program Files\PestPatrol\PPControl.exe
O4 - HKLM\..\Run: [PPMemCheck] C:\PROGRA~1\PESTPA~1\PPMemCheck.exe
O4 - HKLM\..\Run: [CookiePatrol] C:\PROGRA~1\PESTPA~1\CookiePatrol.exe
O4 - HKLM\..\Run: [TkBellExe] "C:\Program Files\Fichiers communs\Real\Update_OB\realsched.exe" -osboot
O4 - HKLM\..\Run: [SunJavaUpdateSched] C:\Program Files\Java\jre1.5.0_02\bin\jusched.exe
O4 - HKLM\..\Run: [StorageGuard] "C:\Program Files\VERITAS Software\Update Manager\sgtray.exe" /r
O4 - HKLM\..\Run: [Recguard] C:\WINDOWS\SMINST\RECGUARD.EXE
O4 - HKLM\..\Run: [RealTray] C:\Program Files\Real\RealPlayer\RealPlay.exe SYSTEMBOOTHIDEPLAYER
O4 - HKLM\..\Run: [PS2] C:\WINDOWS\system32\ps2.exe
O4 - HKLM\..\Run: [nwiz] nwiz.exe /install
O4 - HKLM\..\Run: [NvCplDaemon] RUNDLL32.EXE NvQTwk,NvCplDaemon initialize
O4 - HKLM\..\Run: [NAV Agent] c:\PROGRA~1\NORTON~1\navapw32.exe
O4 - HKLM\..\Run: [LVCOMS] C:\Program Files\Fichiers communs\Logitech\QCDriver2\LVCOMS.EXE
O4 - HKLM\..\Run: [LogitechImageStudioTray] C:\Program Files\Logitech\ImageStudio\LogiTray.exe
O4 - HKLM\..\Run: [LogitechGalleryRepair] C:\Program Files\Logitech\ImageStudio\ISStart.exe
O4 - HKLM\..\Run: [MSConfig] C:\WINDOWS\PCHealth\HelpCtr\Binaries\MSConfig.exe /auto
O4 - HKLM\..\RunServices: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Program Files\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [MSN Checker] msnchecker.exe
O4 - HKCU\..\Run: [MsnMsgr] "C:\Program Files\MSN Messenger\msnmsgr.exe" /background
O4 - HKCU\..\Run: [MSMSGS] "C:\Program Files\Messenger\msmsgs.exe" /background
O4 - HKCU\..\RunServices: [MSN Checker] msnchecker.exe
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Restrictions present
O6 - HKCU\Software\Policies\Microsoft\Internet Explorer\Control Panel present
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra 'Tools' menuitem: Console Java (Sun) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Program Files\Java\jre1.5.0_06\bin\npjpi150_06.dll
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\System32\Shdocvw.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Program Files\Messenger\MSMSGS.EXE
O12 - Plugin for .mp3: C:\Program Files\Internet Explorer\PLUGINS\npqtplugin4.dll
O16 - DPF: Yahoo! Blackjack - http://download.games.yahoo.com/games/clients/y/jt0_x.cab
O16 - DPF: Yahoo! Dominoes - http://download.games.yahoo.com/games/clients/y/dot8_x.cab
O16 - DPF: Yahoo! Literati - http://download.games.yahoo.com/games/clients/y/tt3_x.cab
O16 - DPF: Yahoo! Poker - http://download.games.yahoo.com/games/clients/y/pt3_x.cab
O16 - DPF: Yahoo! Pyramids - http://download.games.yahoo.com/games/clients/y/pyt1_x.cab
O16 - DPF: {04E214E5-63AF-4236-83C6-A7ADCBF9BD02} (HouseCall Control) - http://housecall60.trendmicro.com/housecall/xscan60.cab
O16 - DPF: {4F1E5B1A-2A80-42CA-8532-2D05CB959537} (MSN Photo Upload Tool) - http://spaces.msn.com//PhotoUpload/MsnPUpld.cab
O16 - DPF: {74D05D43-3236-11D4-BDCD-00C04F9A3B61} (HouseCall Control) - http://a840.g.akamai.net/7/840/537/2005111401/housecall.trendmicro.com/housecall/xscan53.cab
O16 - DPF: {8E0D4DE5-3180-4024-A327-4DFAD1796A8D} (MessengerStatsClient Class) - http://messenger.zone.msn.com/binary/MessengerStatsClient.cab31267.cab
O17 - HKLM\System\CCS\Services\Tcpip\..\{8C029752-C694-4845-A297-40ADE623D50D}: NameServer = 86.64.145.143 86.64.145.153
O20 - Winlogon Notify: pmkjh - C:\WINDOWS\System32\pmkjh.dll
O23 - Service: Ati HotKey Poller - Unknown owner - C:\WINDOWS\System32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: Windows Disk Check (dskcheck) - VERITAS Software, Inc. - (no file)
O23 - Service: InstallDriver Table Manager (IDriverT) - Macrovision Corporation - C:\Program Files\Fichiers communs\InstallShield\Driver\11\Intel 32\IDriverT.exe
O23 - Service: Kerio Personal Firewall 4 (KPF4) - Kerio Technologies - C:\Program Files\Kerio\Personal Firewall 4\kpf4ss.exe
O23 - Service: Service Norton AntiVirus Auto-Protect (navapsvc) - Symantec Corporation - c:\Program Files\Norton AntiVirus\navapsvc.exe
O23 - Service: NVIDIA Driver Helper Service (NVSvc) - NVIDIA Corporation - C:\WINDOWS\System32\nvsvc32.exe


Hormis ça, pour retrouver le mode sans échec, je vais tenter ce que vous me conseillez et je vous tiens au courant (peut-être à la mi-journée ou au pire ce soir).

Merci encore et bonne journée

Citation :

J'y ai pensé mais si elle fait ça, elle ne pourra plus redémarrer normalement après puisqu'elle n'aura plus accès à msconfig.

Pourquoi ?

Renard a écrit:

Pourquoi ?

Parce que quand tu fais la modif par msconfig elle est permanente. Pour redémarrer en mode normal, il faut que tu accèdes de nouveau à msconfig et que tu décoches safeboot. Et si ton MSE démarre pas, adieu msconfig .... et bonjour formatage.

Lolla: Je regarde ton log et je te tiens au courant.

@+

Citation :

Parce que quand tu fais la modif par msconfig elle est permanente. Pour redémarrer en mode normal, il faut que tu accèdes de nouveau à msconfig et que tu décoches safeboot. Et si ton MSE démarre pas, adieu msconfig .... et bonjour formatage.

Dans le pire des cas il redémarre en mode normal le PC, tu crains qu'il se mette à tourner en boucle ?

Pour les trucs qui sont réapparus, va dans msconfig onglet Démarrage et décoche tout ce qui est en rapport avec MSN Checker (prog msnchecker.exe). C'est aussi un troyen.

Redémarre ensuite le PC.

@+

Alors, il faut modifier le BOO.INI:

Ajouter l'option "Mode sans echec" au boot de Windows

Fais un clic droit sur l'icône poste de travail puis va sur propriétés.
Dans l'onglet avancé, dans la partie Démarrage et récupération, cliques sur paramètres.

Cliques ensuite sur le bouton modifier afin de modifier les options de démarrage.

Une nouvelle fenêtre va s'ouvrir en mode texte dans la partie, [operating systems], copies la ligne ci-dessous et colles-la à la suite de ligne existante.

multi(0) disk(0) rdisk(0) partition(1) \WINDOWS="Mode sans échec " /fastdetect /safeboot:minimal /sos /bootlog

Tu dois obtenir ça :

Code:

[boot loader]
timeout =30
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS = "Microsoft Windows XP Professionnel" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Mode sans échec"
/fastdetect/safeboot:minimal/sos/bootlog.

Plus rassurée Bonemine ?

Tu me diras si elle plante le boot-ini c'est la cata aussi.

Mais réparer sans prendre de risque c'est pas évident non plus.
Lolla tu as bien fais toutes tes sauvegardes ?

Citation :

Dans le pire des cas il redémarre en mode normal le PC, tu crains qu'il se mette à tourner en boucle ?

Oui c'est exactement ça. Tu ne peux plus redémarrer en mode normal.
Aprés modif de Bootsafe dans msconfig, le PC redémarre toujours en MSE tant que tu ne décoches pas la case dans msconfig. Et comme le MSE ne fonctionne pas .....

@+

Bonjour,

Citation :

tu crains qu'il se mette à tourner en boucle ?

C'est ce que je crains aussi...

Juste une indication en ce qui concerne la réinstallation HP.

Il y a deux sortes de réinstallation :

- la réinstallation complète avec formatage (donc, perte de toutes les données)

- la réinstallation du système et des pilotes, ainsi que les programmes installés d'origine par HP qui n'affecte pas les données utilisateur (le dossier "Mes documents" e l'ocurrence).

Si Lolla accède à l'écran avec écrit "mode sans échec" dans les coins, c'est que le démarrage avec le mode sans échec est bien activé mais qu'il est "coincé".

Elle pourrait éventuellement redémarrer en invite de commande (F8 ) et chercher à démarrer la restauration système en tapant :

%systemroot%\system32\restore\rstrui.exe

ça ne coûte rien d'essayer. Si ça ne fonctionne pas, elle aura la fenêtre de la restauration vide et il faudra redémarrer.

Mais quoiqu'il en soit, il faut que Lolla fasse les sauvegarde de ses docs persos avant tout.

Salut Ortale

Citation :

Si Lolla accède à l'écran avec écrit "mode sans échec" dans les coins, c'est que le démarrage avec le mode sans échec est bien activé mais qu'il est "coincé".

C'est exactement ça.

Elle ne peut pas lancer le MSE parce que Vundo empêche l'affichage de la fenêtre (restauration système ou continuer en MSE). Donc l'ordi se bloque.

Si elle est assez rapide pour appuyer sur la touche entrée avant la disparition de la fenêtre, le mode sans échec démarrera. Mais si elle n'a pas le temps, il faudra trouver un moyen de réparer le mode sans échec.

@+

Citation :

Mais si elle n'a pas le temps, il faudra trouver un moyen de réparer le mode sans échec.

En modifiant le boot-ini comme j'explique plus haut, qu'est ce que vous en pensez ?

Code:

[boot loader]
timeout =30
default = multi(0)disk(0)rdisk(0)partition(1)\WINDOWS
[operating systems]
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS = "Microsoft Windows XP Professionnel" /fastdetect
multi(0)disk(0)rdisk(0)partition(1)\WINDOWS="Mode sans échec"
/fastdetect/safeboot:minimal/sos/bootlog.

Oui, si ça fonctionne, en faisant cela, elle aura le choix de démarrage normal et mode sans échec au départ

Mais il faut que le boot.ini prenne...

Ca va lancer le mode sans échec mais à mon avis, le blocage sera toujours présent (à la fenêtre du choix restauration ou continuer en MSE).

@+

Ben, si on tente rien on va rester comme ça longtemps.

Hormis une réparation de Windows qui n'enléverra pas le virus et qui risque de nous ramener au point de départ (toujours pas de restauration) que peut on faire d'autre ?

A moins de posséder deux PC et de réparer le disque pollué depuis un autre ordinateur.

La dernière version de VundoFix s'utilise en mode normal (pas besoin du mode sans échec).

Ils sont bons chez Atribune quand même!


Télécharge VundoFix V4.2 de Atribune.

Double-clique sur VundoFix.exe. Tu dois obtenir cette fenêtre:



Clique sur le bouton Scan for Vundo.
Quand il a fini de scanner, clique sur le bouton Remove Vundo.
Il va te demander si tu veux supprimer les fichiers. Clique sur Yes.
Les icones du bureau vont disparaitre, c'est normal car pour supprimer les fichiers il arrête Explorer.exe.
A la fin de la suppression, il va te proposer de redémarrer l'ordi. Accepte.

Une fois le PC redémarré, fais le scan Panda si possible (D'autres saletés peuvent empêcher de lancer Panda, je n'ai pas encore eu le temps de regarder ton log en profondeur ) et poste un nouveau log HijackThis.

Et teste aussi ton mode sans échec, il devrait être revenu.

@+